2. Définition du paysage de sécurité

 

Ce chapitre fournit les définitions des composants de sécurité qu'il est important de bien comprendre pour procéder à l'analyse de la sécurité de votre entreprise. Il propose des conseils généraux sur la façon d'exécuter une analyse préliminaire des ressources de l'entreprise. Il traite également des relations qui existent entre les menaces, les expositions aux risques, les vulnérabilités et les contre-mesures.

Composants de gestion du risque de sécurité

Nécessité d'un programme de sécurité stratégique

Si le contrôle de l'accès aux ressources est essentiel, la facilité d'utilisation de celles-ci l'est tout autant. Pour mettre au point une stratégie de sécurité efficace, il est capital de trouver un compromis entre ces deux impératifs. La mise en place d'un programme de sécurité très restrictif peut, en définitive, se révéler coûteuse. En outre, elle peut représenter une perte de temps dans la mesure où elle limite le champ d'action des éventuels auteurs d'attaque, mais aussi celui des utilisateurs. Si l'accent est mis sur le contrôle de façon exagérée, les utilisateurs risquent d'être mécontents en raison de l'application de stratégies qui les empêchent d'effectuer correctement leur travail. À l'inverse, si le programme de sécurité est laxiste, les utilisateurs peuvent négliger la question de la sécurité sur le lieu de travail et ouvrir la porte à d'éventuelles attaques. Il est essentiel de sensibiliser les membres de l'entreprise à l'importance de la sécurité afin d'éviter que les stratégies entraînent d'autres complications. Des problèmes peuvent survenir si les chartes, les stratégies et les plans de sécurité ne sont appliqués que partiellement. Si la qualité est un élément clé des projets informatiques dans lesquels le principe « zéro défaut » est primordial, cette qualité est également de rigueur pour garantir un niveau de sécurité élevé dans votre entreprise.

Un facteur de succès essentiel lors de la mise en place d'une infrastructure sécurisée est l'élaboration d'un processus adéquat de gestion du risque de sécurité. Grâce à l'identification précise du risque, associée à des procédures efficaces d'évaluation, de gestion, d'atténuation et d'exécution ainsi qu'à des plans de secours, vous pouvez réduire la probabilité qu'un risque donné se produise. Par ailleurs, si le risque ne peut pas être évité, vous pourrez ainsi en minimiser l'impact. L'exécution d'une analyse de risques permet d'éliminer des problèmes de sécurité critiques qui requièrent votre attention et l'adoption d'une ligne de conduite. Un risque de sécurité est avéré lorsqu'une menace exploite une vulnérabilité qui, à son tour, cause des dommages à une ressource de l'entreprise. La création de plans de secours et d'atténuation vous permet de créer des procédures et des stratégies de sécurité et ainsi d'adopter une gestion proactive et réactive du risque de sécurité.

Avec l'évolution des technologies et l'élaboration de nouvelles méthodes pour les exploiter, il devient indispensable d'implémenter des plans de sécurité, de les appliquer et de les optimiser continuellement. Les programmes de sécurité doivent être adaptés régulièrement car leur efficacité dépend de la mise en place ad hoc de nouvelles stratégies et procédures. Ils doivent également prendre en compte les éventuelles répercussions légales d'une attaque ; en effet, l’exploitation d’une faille de sécurité peut conduire un tiers à entamer des poursuites à l’encontre de votre entreprise si ce tiers estime que le piratage de votre entreprise nuit à ses intérêts. En conséquence, des plans de réponse aux incidents, adaptés à l'environnement de l'entreprise, doivent être élaborés avec soin

Une évaluation adéquate des ressources permet de déterminer plus facilement les coûts induits. Il est également important de mettre en balance les coûts d'investissement relatifs aux mesures d'atténuation et les conséquences liées à une ressource endommagée ou compromise. Pour plus d'informations sur la manière d'atteindre cet objectif, reportez-vous au chapitre 3, « Présentation de la SRMD (discipline de gestion du risque de sécurité) ». Celui-ci explique comment obtenir le compromis idéal entre les coûts et les risques.

Si la perte de données confidentielles affecte gravement la productivité ou le chiffre d'affaires de votre entreprise, il est probable que les investissements consentis pour assurer leur protection seront conséquents. En revanche, si un tel événement n'a que peu de répercussions sur l'entreprise, un niveau de protection minimal suffit, d'où des investissements moindres.

Le processus d'évaluation du risque de sécurité nécessite la prise en compte des points suivants, huit au total :

·         Conditions de sécurité requises pour les ressources. Identifiez tous les composants de l'infrastructure qui exigent un niveau de protection quel qu'il soit, et notamment les systèmes, les réseaux, les applications et les données d'entreprise. L’évaluation des ressources doit s'exprimer de façon quantitative et qualitative. Cette approche permet de prévoir correctement les contre-mesures ou les mesures de protection adéquates.

·         Analyse des menaces. Créez une liste des exploitations connues et déterminez pour chacune la probabilité qu’elle se produise. Une « exploitation » est un moyen susceptible d'être utilisé par une menace pour tirer parti d'une vulnérabilité présente dans votre environnement. Pour effectuer une analyse adéquate des menaces, vous devez compiler une liste des principaux agents de menace identifiés. Le terme menace renvoie à tout danger potentiel pour les informations ou les systèmes de votre environnement. Un agent de menace est la personne ou le processus qui attaque le réseau via un port vulnérable du pare-feu ou un processus qui accède à des données de manière à enfreindre votre stratégie de sécurité.

·         Identification des expositions. Analysez le pourcentage de perte de ressources imputable à chaque menace identifiée. L'identification et la détermination de la perte de valeur potentielle de chaque exposition constituent des facteurs clés de l'analyse du risque de sécurité.

·         Évaluation des vulnérabilités. Établissez une liste exhaustive de toutes les vulnérabilités connues susceptibles d'être exploitées au détriment de ressources nécessitant un niveau quelconque de protection. Une vulnérabilité est une faiblesse qui existe dans un système informatique ou l’un des ses composants (par exemple, les procédures de sécurité du système, la conception matérielle, la conception logicielle ou les contrôles internes) et qui est susceptible d'être exploitée.

·         Élaboration de contre-mesures. Mettez au point des contre-mesures adéquates pour pallier le risque de sécurité. Celles-ci doivent témoigner d'une certaine logique économique, c'est-à-dire qu'elles doivent être rentables tout en protégeant les ressources de votre entreprise.

·         Test d'intrusion. Utilisez le test d'intrusion afin d'identifier les différents moyens qu'une personne non autorisée est susceptible d'utiliser pour avoir accès à votre entreprise. Parmi les méthodes de test d'intrusion les plus courantes, citons notamment :

·         L'analyse des ressources externes en vue d'identifier les cibles potentielles des agressions.

·         L'envoi d'une requête dite « War Pinging » (balayage par ping) pour identifier les adresses IP non protégées. Il s'agit d'un outil utilisé par les pirates pour déterminer dans une plage d’adresses IP lesquelles sont actuellement utilisées ou renvoient une réponse dans le délai imparti. Les résultats de ces requêtes peuvent être importés dans des bases de données.

·         L'ingénierie sociale pour localiser les personnes dont il est possible d'obtenir par la ruse les mots de passe ou d'autres informations de sécurité susceptibles de donner accidentellement accès à des informations confidentielles.

·         Une intrusion physique pour déterminer s'il est possible d'accéder facilement aux installations.

Ces tests sont utiles dans la mesure où ils permettent d'accroître l'attention portée par une entreprise aux stratégies de sécurité. Cependant, l'une des principales difficultés consiste à trouver un agent externe suffisamment fiable pour pouvoir les réaliser.

·         Réponse aux incidents. Un plan de réponse aux incidents digne de ce nom doit décrire les procédures spécifiques à mettre en œuvre à mesure que vous en apprenez davantage sur l'attaque dont votre société est l'objet. Généralement, la nature des symptômes de l'attaque détermine la séquence à respecter dans l'exécution des procédures définies par le programme de sécurité. Dans la mesure où le temps est toujours compté, il est préférable d'implémenter les procédures rapides avant les autres.

·         Évaluation des efforts à fournir pour sécuriser les ressources. Définissez la quantité totale de travail (en termes de temps, d'efforts et d'argent) requise pour garantir une sécurité suffisante et néanmoins faire en sorte que l'infrastructure globale reste accessible aux utilisateurs de l'entreprise. L'analyse coût-avantages d'une mesure de protection donnée doit dériver d'une analyse du risque de sécurité pour la ressource par rapport au coût total de possession (TCO) ou au retour sur investissement (ROI) pour l'entreprise.

Ressources

Une ressource est un élément de l'environnement qui peut nécessiter un certain niveau de protection. Il peut s'agir d'éléments figurant dans le bilan – tels que des logiciels ou du matériel – ou d'autres valeurs moins mesurables comme des données ou des personnes. L'objectif de la sécurité est d'empêcher la compromission des ressources et de garantir la confidentialité, l'intégrité et la disponibilité des données. Pour toutes les sociétés, les nombreux effets préjudiciables dus à une altération de leurs données, parmi lesquels une dégradation de l'intégrité des données commerciales, représentent une préoccupation majeure.

Un aspect essentiel de la gestion du risque informatique consiste à déterminer la valeur de chaque ressource principale de l'entreprise, la valeur des informations contenues dans ces ressources et la relation qui unit chacune aux autres ressources de l'environnement. Par exemple, la valeur d'une société peut baisser si certaines de ses données commerciales essentielles sont compromises à partir d'un serveur Web. Il serait également inquiétant qu'un routeur reliant toutes les succursales au siège social soit compromis.

La valeur globale associée à chaque ressource détermine le temps, les efforts et le coût consacrés à la sécurisation de cette ressource, d'après le niveau de sécurité requis, pour qu'elle bénéficie d'une protection adéquate. N'oubliez pas que les ressources peuvent présenter un niveau de dépendance. Il faut prendre en compte le mode d'authentification qui leur est appliqué, la manière dont les utilisateurs accèdent à chacune d'elles ainsi que les données qu'elles exposent. Par exemple, il ne faut pas que le mot de passe d'ouverture de session défini sur l'ordinateur portable d'un responsable informatique soit trop simple, car sa découverte peut entraîner un important risque financier.

Les ressources elles-mêmes doivent également être classées en fonction des mesures de protection dont chacune a besoin. Il existe différents types de mesures de protection :

·         Prévention. Mesures qui empêchent les ressources d'être endommagées, altérées ou volées. Les mesures préventives vont du verrouillage de la porte de la salle des serveurs à l'application de stratégies de sécurité de haut niveau.

·         Détection. Mesures visant à détecter toute détérioration, altération, vol ou compromission des ressources. Parmi les mesures de détection, citons notamment des mécanismes servant à déterminer la manière dont la ressource a été compromise et, plus particulièrement, le coupable. Il existe un large éventail d'outils qui permettent de déceler des intrusions, des dommages, des altérations et des virus.

·         Réaction. Mesures de récupération permettant de rétablir l'état initial d'une ressource même si celle-ci est perdue ou endommagée.

 

Ces catégories de mesures de protection doivent être intégrées à différents types de contre-mesures. Ces dernières contribuent à atténuer le risque potentiel de compromission d'une ressource. Leur objectif est d'éliminer une vulnérabilité ou de réduire le risque d'exploitation de celle-ci par une menace dans un environnement informatique. Pour mettre au point des contre-mesures destinées à protéger vos ressources, commencez par étudier les approches pouvant être exploitées pour compromettre les ressources de l'entreprise. Pour cela, identifiez les menaces et les risques propres à chacune d'elles. Lors de l'élaboration d'un programme de sécurité visant à protéger les ressources de l'entreprise, veillez à prendre en compte les cinq principes suivants, en évaluant chacun d'eux en fonction de vos besoins.

·         Confidentialité. La confidentialité est assurée lorsque les informations ne sont accessibles qu'aux seules personnes autorisées à y accéder. Elle garantit que le niveau requis de protection est appliqué à chaque jonction du traitement des données de façon à empêcher la divulgation illicite de ces données. À titre d'exemple, une stratégie de sécurité qui permet l'accès utilisateur anonyme à des informations aussi sensibles qu'un partage de fichiers d'un département des ressources humaines est déplorable.

·         Intégrité. L'intégrité consiste à préserver l'exactitude des informations et des méthodes de traitement. Elle est assurée lorsque les informations de l'environnement système demeurent précises et fiables et que leur modification sans autorisation est impossible. Le stockage de données incorrectes est aussi préjudiciable pour une entreprise que la perte de données.

·         Disponibilité. Assurer la disponibilité d'un système consiste à empêcher la rétention non autorisée d'informations ou de ressources. La disponibilité garantit la fiabilité des données et ressources ainsi que la possibilité pour les personnes autorisées d'y accéder de manière opportune.

·         Authentification. L'authentification est le processus consistant à vérifier que les utilisateurs sont bien qui ils prétendent être lorsque ceux-ci ouvrent une session dans le système. En règle générale, elle est réalisée sur la base des noms d'utilisateur et des mots de passe. Parmi les méthodes d'authentification plus sophistiquées, citons l'utilisation des cartes à puces ou de la biométrie, avec notamment l'analyse de la rétine ou des empreintes digitales.

 

Le processus d'authentification n'octroie pas à l'utilisateur des droits d'accès aux ressources, lesquels sont accordés par le processus d'autorisation. Lorsque l'authentification est compromise, il n'existe plus aucun moyen de déterminer qui accède à la ressource.

·         Autorisation. L'autorisation accorde à une personne ou à un processus le droit d'utiliser le système et les données qui y sont stockées. Les autorisations sont généralement définies par un administrateur système et vérifiées par un ordinateur de l'environnement. Cette vérification s'appuie sur une forme quelconque d'authentification de l'utilisateur, comme un code d'identification personnel (code PIN), un code numérique ou un mot de passe.

Un processus d'autorisation a recours à l'autorité de sécurité appropriée pour déterminer si un utilisateur a le droit d'accéder aux ressources. Lorsque l'autorisation est compromise, il n'existe plus aucun moyen de recenser qui devrait avoir accès à la ressource.

Relations entre menaces, expositions, vulnérabilités et contre-mesures

Si un agent de menace engendre une menace et exploite une vulnérabilité, la sécurité peut être compromise suite à l'attaque. Cette dernière peut alors endommager une ressource en termes de confidentialité, d'intégrité ou de disponibilité. Par conséquent, elle entraîne une exposition de l'entreprise à des pertes potentielles. Toutefois, il est possible de minimiser ces expositions par l'application de contre-mesures.

Une vulnérabilité surgit par exemple si une société a installé des logiciels antivirus uniquement sur ses serveurs et que les signatures de virus ne sont pas à jour. La société devient vulnérable à d'éventuelles attaques virales et à la menace d'un virus qui pénétrerait dans l'environnement et en perturberait la productivité.

Le risque est représenté par la probabilité d'infection et de dommages causés à l'environnement par un virus. Puisqu'il existe une possibilité de perte ou de corruption des données suite à une attaque virale, la société est désormais exposée à un tel risque. En guise de contre-mesures, vous devez veiller à installer un logiciel antivirus sur chacun des ordinateurs de l'environnement et à y mettre à jour les signatures de virus.

Les termes relatifs à la gestion de la sécurité sont parfois difficiles à comprendre. Le tableau suivant propose une liste des composants clés de la gestion de la sécurité ainsi que leur définition.

Tableau 2-1 Composants clés de la sécurité

Composant

Définition

Menace

Tout danger potentiel pour les informations ou les systèmes.

Agent de menace

Personne ou processus qui attaque le réseau via un port vulnérable du pare-feu ; processus qui accède à des données de manière à enfreindre la stratégie de sécurité.

Vulnérabilité

Faiblesse au niveau d'un logiciel, d'un composant matériel ou d'une procédure qui peut offrir au pirate ou à l'agent de menace la possibilité de s'introduire dans un réseau ou un ordinateur et ainsi d'accéder de façon illicite aux ressources de l'environnement.

Risque

Probabilité qu'un agent de menace exploite une vulnérabilité.

Exposition

Situation dans laquelle un agent de menace expose une ressource de la société à une perte potentielle et, partant de là, à des dommages éventuels.

Contre-mesure

Mesure de protection qui atténue ou limite un risque. Il peut s'agir de configurations logicielles, de matériel ou de procédures visant à éliminer une vulnérabilité ou à limiter le risque d'exploitation d'une vulnérabilité par un agent de menace.

 

La relation qui existe entre les menaces, les vulnérabilités et le risque n'est pas toujours simple à appréhender dans un premier temps. Chaque menace et chaque vulnérabilité identifiées au sein de l'entreprise doivent être qualifiées et classées selon une échelle standard (par exemple, niveau faible, moyen ou élevé). La classification varie d'une entreprise à une autre, voire au sein d'une même entreprise. Ainsi, la menace d'un séisme est plus réelle pour les bureaux implantés près d'une ligne de faille majeure qu'ailleurs. De la même façon, le degré de vulnérabilité en termes de dommages physiques causés aux équipements est plus élevé dans une entreprise produisant des composants électroniques très sensibles et fragiles que dans une entreprise de construction. La matrice de gestion des risques peut vous aider à évaluer les menaces et leur impact sur l'entreprise. Comme le montre l'illustration suivante, le risque croît :

 


 


Figure 2-1. Matrice de gestion des risques.

La matrice de gestion des risques peut être exploitée comme suit. Imaginons par exemple que votre société possède deux sites Web complètement différents, un site d'informations sans vocation commerciale et un autre site, commercial celui-là, qui propose des services financiers et prend en charge tout le processus transactionnel de vente pour vos clients.

Chaque site Web affiche des niveaux de risque différents. Le site Web d'informations présente un faible niveau de menace dans la mesure où il contient des données dont le vol ou l'endommagement n'entraveront pas le bon déroulement des opérations commerciales. Pareil site peut également avoir un niveau de vulnérabilité faible si des Service Packs et des correctifs récents sont déployés sur le serveur qui l'héberge. Ces deux éléments conjugués font que le site Web d'informations occupe le quadrant Risque faible.

Prenons à présent le cas du site Web de services financiers. Celui-ci peut figurer dans le quadrant Risque moyen ou Risque élevé. Les pirates informatiques peuvent en effet retirer un grand bénéfice du vol ou de la compromission des données financières, d'où un niveau de menace élevé. Néanmoins, si les serveurs Web sont dotés des Service Packs et correctifs adéquats, ce site Web est alors moins vulnérable et peut figurer dans le quadrant Risque moyen. Si, au contraire, les correctifs et Service Packs des serveurs Web ne sont pas à jour, le site Web occupera le quadrant Risque élevé.

L'illustration ci-dessous propose un modèle théorique permettant de déterminer les menaces, les motifs et objectifs, les méthodes, les exploitations et les vulnérabilités susceptibles d'être utilisés contre votre entreprise lors d'une attaque.


 


Figure 2-2. Déroulement de la compromission d'une ressource.

Le schéma de la figure 2-2 illustre le cheminement simple mais logique que peuvent emprunter les agents de menace pour compromettre des ressources. Tout à gauche figurent les trois types de menaces. Cette classification identifie l'auteur de l'attaque ou les agents de menace qui en sont à l'origine. Les trois classifications possibles sont les menaces non intentionnelles, les menaces intentionnelles et les incidents catastrophiques.

Les agents de menace ont généralement un motif ou poursuivent un objectif lorsqu'ils tentent de compromettre des ressources : ce peut être le profit. Ils recourent à des outils, techniques et méthodes spécifiques pour exploiter certaines vulnérabilités au niveau de la sécurité des ressources. Les flèches de l'illustration montrent le parcours que suit un pirate lorsqu'il tente de compromettre une ressource ainsi que les vulnérabilités qui peuvent être exploitées.

Classification des menaces

Une menace est une personne, un lieu ou une chose qui a la possibilité d'accéder aux ressources et de les endommager. Il existe deux sources principales de menaces : les catastrophes naturelles et l'homme. Les menaces humaines peuvent à leur tour être réparties en deux catégories : les menaces intentionnelles et celles qui ne le sont pas. Les attaques dites « non intentionnelles » sont généralement imputables à des utilisateurs ou employés insuffisamment formés à l'informatique et non conscients des diverses menaces qui pèsent sur la sécurité informatique. Les attaques intentionnelles émanent généralement de personnes qui poursuivent un objectif spécifique ; il peut s'agir d'individus externes à la société ou d'employés mécontents ou ayant été limogés.

 

Tableau 2-2 Types de menaces

Menace

Exemples

Catastrophes

Incendie, eau, vent, séisme, panne de courant ou attaques terroristes

Menace non intentionnelle

Employés ou utilisateurs mal informés

Menace intentionnelle

Pirates, espions industriels, gouvernements, corruption ou employé déçu

Catastrophes

Tout événement lié à des conditions climatiques extrêmes, à des phénomènes naturels ou à une catastrophe de grande ampleur peut provoquer des dommages importants à l'infrastructure d'une entreprise. Il peut entraîner la perte d'informations, des dégâts matériels et une baisse de la productivité, en plus de perturber d'autres services essentiels.

Malheureusement, il est presque impossible de mettre en œuvre des mesures préventives pour limiter l'impact de tels incidents. La meilleure approche face à de telles menaces est de mettre en place des plans de secours et de récupération d'urgence, afin de minimiser les effets de la perte pouvant être subie. Si de tels plans sont en vigueur, l'entreprise peut plus facilement procéder à une restauration du système à l'état précédant la catastrophe, de façon à rétablir le déroulement normal des activités le plus rapidement possible. Outre ces catastrophes naturelles, il ne faut pas omettre d'éventuelles émeutes en résultant, car celles-ci peuvent entraîner une perte de ressources contre laquelle il est difficile d'établir des plans de secours efficaces.

Pannes mécaniques

Les menaces mécaniques sont fréquemment négligées. Citons notamment les pannes de courant, les défaillances matérielles et les pannes réseau. Une planification adéquate permet souvent d'éviter l'apparition de vulnérabilités découlant de telles menaces. La mise en place de clusters matériels, l'existence d'une alimentation de secours pour les centres de données et une architecture réseau solide peuvent contribuer à éliminer les points de défaillance uniques susceptibles de provoquer des pannes mécaniques. Toutefois, il faut savoir que l'implémentation de ces contre-mesures peut se révéler extrêmement coûteuse et qu'une évaluation rigoureuse s'impose pour déterminer si la valeur de la ressource nécessite réellement l'application de ces contre-mesures.

Par ailleurs, l'atténuation de menaces mécaniques peut mettre à jour des risques de sécurité supplémentaires, car les mesures d'atténuation peuvent accroître la surface d'attaque. La surface d'attaque d'une ressource se définit par le nombre de points d'entrée potentiels dans le système que présente cette ressource. Il arrive souvent que l'ajout de fonctionnalités à une ressource informatique contribue à exposer d'autres vulnérabilités. Cela étant, les menaces mécaniques ne représentent généralement pas un problème majeur dans un projet de sécurité. Elles ne sont donc pas prises en compte dans ce guide.

Menaces humaines

Les menaces humaines se présentent sous deux formes : les menaces intentionnelles et celles qui ne le sont pas. Les menaces non intentionnelles proviennent souvent d'une erreur commise par un utilisateur et peuvent compromettre lourdement l'intégrité des données. Les bogues logiciels, les erreurs de saisie de données et les erreurs d’administration appartiennent à cette catégorie.

 

Attaques intentionnelles

Les attaques intentionnelles ont pour objectif de nuire à l'entreprise et sont généralement menées par des personnes extérieures ou par des employés actuels ou anciens, qui agissent par mécontentement ou par malveillance. En général, le personnel interne qui se livre à des attaques poursuit un objectif spécifique et dispose d'un certain niveau d'accès légitime aux systèmes de l'environnement. Les employés constituent le groupe qui connaît le mieux les applications et les ordinateurs de la société, ainsi que, fort probablement, les vulnérabilités susceptibles de causer le plus de dommages. Ce type d'attaque peut être extrêmement difficile à détecter, et il n'est pas évident de s'en protéger.

Si un individu faisant partie de l'entreprise commet une attaque, il vise le plus souvent un but spécifique. Dans la mesure où il bénéficie généralement d'un accès légitime au système, son attaque peut avoir une incidence sur tous les composants de la sécurité du système informatique ou sur les applications. Parmi les autres délits liés à la sécurité commis par du personnel interne malveillant, il faut citer ceux qui reposent sur la corruption ou la manipulation. La manipulation est une approche utilisée dans le but de soutirer des informations à des personnes (leurs mots de passe ou d'autres informations de sécurité) sans qu'elles s'en rendent compte. Les actions de ce type passent souvent inaperçues dans la mesure où les journaux d'audit ne sont pas conçus pour les détecter ou ne sont pas examinés assez attentivement.

Une attaque intentionnelle peut avoir recours à la manipulation pour tromper les employés et obtenir l'accès à l'environnement. Par exemple, le pirate peut se faire passer pour un administrateur et demander les noms d'utilisateur et les mots de passe. Les employés peu informés et non conscients des menaces qui pèsent sur la sécurité peuvent se laisser piéger. Des employés mécontents peuvent dans le meilleur des cas être à l'origine de nuisances et, au pire, saboter l'entreprise. En réalité, le personnel en place peut provoquer plus de dommages que les anciens employés.

Attaques non intentionnelles

Les pirates ne sont pas les seuls à pouvoir nuire à l'entreprise. Les utilisateurs autorisés qui ignorent tout des conséquences de leurs actions constituent la principale menace pour l'intégrité des données. Des erreurs ou des omissions peuvent engendrer la perte et l'altération de données essentielles pour l'entreprise.

Les erreurs et omissions représentent des menaces importantes pour l'intégrité des données. Les erreurs ne sont pas l'apanage des opérateurs de saisie qui traitent des centaines de transactions par jour : elles peuvent également être commises par tout utilisateur qui crée et modifie des données. De nombreux programmes, spécialement ceux qui sont conçus par les utilisateurs de PC, ne sont pas dotés de mesures de contrôle qualité appropriées. Et même les programmes les plus sophistiqués ne peuvent éliminer tous les risques d'omissions et d'erreurs de saisie.

La gravité des erreurs de programmation et de développement, communément appelées bogues, varie : ces erreurs sont parfois simplement irritantes, mais elles peuvent aussi se révéler catastrophiques. L'amélioration de la qualité des logiciels a limité cette menace, sans toutefois l'éliminer. Les erreurs d'installation et de maintenance peuvent aussi être à l'origine de problèmes de sécurité. La majorité des entreprises ont tendance à croire que les programmes informatiques installés dans leurs systèmes sont plus précis et exacts qu'ils ne le sont en réalité. Nombreuses sont celles qui doivent implémenter des stratégies de sécurité pour pallier les erreurs et omissions présentes au niveau de la sécurité informatique, de la qualité des logiciels et des programmes de qualité des données.

 

 

 

Classification des menaces

Les menaces peuvent être classées de centaines de façons. Microsoft a mis au point la méthode STRIDE pour classifier différents types de menaces hostiles. Notez que STRIDE est l'acronyme des expressions suivantes :

Spoofing (usurpation d'identité), Tampering (falsification des données), Repudiation (répudiation), Information disclosure (divulgation d'informations), Denial of service (déni de service) et Elevation of privilege (élévation de privilèges).

Chacun de ces aspects est défini ci-dessous.

Usurpation d'identité

Les menaces liées à l'usurpation d'identité incluent toutes les opérations visant à obtenir et à utiliser illégalement les informations d'authentification d'une personne, le nom d'utilisateur ou le mot de passe par exemple.

Falsification des données

Ce type de menace consiste à modifier les données dans un but malveillant. Il peut s’agir de modifications non autorisées de données permanentes, comme la modification de la page d'accueil d'un site Web et d'informations figurant dans une base de données, ou encore l'altération de données pendant qu'elles circulent entre deux ordinateurs dans un réseau ouvert.

Répudiation

La répudiation consiste pour un utilisateur à nier qu'il a accompli une action, les autres parties étant dans l'impossibilité de prouver le contraire. Par exemple, un utilisateur peut effectuer une opération illégale dans un système incapable d'assurer le suivi de l'action interdite.

La non-répudiation fait référence à la capacité d'un système à contrer les menaces de répudiation. Par exemple, une personne qui achète un article doit apposer sa signature à la livraison. Le vendeur peut alors utiliser le récépissé signé comme preuve que l'acheteur a reçu le colis.

Divulgation d'informations

La divulgation d'informations consiste à exposer des informations à des personnes qui ne sont pas supposées y avoir accès. Ce type de menace survient en donnant par exemple la possibilité à des utilisateurs de lire des fichiers auxquels ils n'ont pas accès en principe ou à un intrus de lire des données en transit entre deux ordinateurs.

Déni de service

Une attaque de déni de service entraîne des perturbations au niveau du service fourni à des utilisateurs valides. Elle peut notamment être destinée à rendre un serveur Web temporairement inaccessible ou inutilisable. Les mesures prises pour se prémunir contre certains types de menaces d'attaque de déni de service peuvent contribuer à améliorer la disponibilité et la fiabilité d'un système.

Élévation de privilèges

Ce type de menace découle de l'obtention par un utilisateur dépourvu de droits d'accès d'un accès privilégié au système qui lui permet de compromettre et éventuellement de détruire tout un environnement système. Par exemple, un pirate peut avoir raison de toutes les défenses d'un système pour exploiter et endommager celui-ci.

Exploitation d’une vulnérabilité

Une menace qui exploite une vulnérabilité dont souffre l'environnement d'une entreprise peut permettre l'accès à une ressource. Le tableau suivant présente des exemples de trois types principaux d'exploitations.

Tableau 2-3 Types d'exploits

Exploit

Exemple

Exploitation d'une vulnérabilité technique

Attaque par énumération systématique

Dépassement de la mémoire tampon

Erreurs de configuration

Attaque par rejeu

Piratage de session

Collecte d'informations

Identification d'adresse

Destruction de documents

Identification du système d'exploitation

Balayage des ports

Analyse des temps de réponse

Manipulation humaine

Interrogation de services et d'applications

Recensement des utilisateurs

Recherche des vulnérabilités

Fuite de liaison sans fil

Déni de service

Dommage physique

Suppression de ressources

Modification de ressources

Saturation de ressources

Dépassement de la mémoire tampon

Exemple : exploitations effectuées par des pirates informatiques
Suppression et altération des informations

Le plus souvent, l'auteur d'une attaque hostile qui supprime ou altère des informations veut soit prouver quelque chose, soit se venger. S'il fait partie du personnel interne, son attaque est souvent l'expression d'une rancune ou d'un mécontentement vis-à-vis de l'entreprise. Les pirates informatiques qui n'appartiennent pas à l'entreprise ciblée, agissent souvent pour prouver que l'attaque en question est possible ou pour leur satisfaction personnelle.

Fraude informatique et vol de données

Les technologies de l'information sont à la fois les outils et la cible de fraudes et de vols toujours plus nombreux. Des systèmes financiers soigneusement conçus et contrôlés peuvent satisfaire aux obligations légales et aux exigences de reporting en vigueur pour empêcher la fraude. Ces types d'environnements ne sont toutefois pas les seuls à être la cible de telles attaques. D'autres sociétés sont également visées et notamment des environnements contrôlant l'accès aux informations personnelles. Citons par exemple les organismes de cartes de crédit, les bureaux qui délivrent les cartes d'identité ou encore les systèmes de pointage des présences en entreprise, d'inventaire, de notation scolaire ou de facturation des communications téléphoniques longue distance.

En raison de leur petite taille et de leur grande valeur, les vols d'ordinateurs sont fréquents. Certes, le matériel peut être remplacé aisément, ce qui n'est pas le cas des données qu'il contient. Et ces données sont d'autant plus précieuses s'il s'agit de numéros de cartes de crédit ou de fiches médicales de patients. Il est impossible d'empêcher le vol. Toutefois, pour protéger au mieux les investissements matériels consentis par l'entreprise, vous pouvez prendre certaines mesures, comme le verrouillage physique des stations de travail, pour sécuriser vos ordinateurs. Si un ordinateur est dérobé, ses données seront à la merci du voleur, qui aura la possibilité de les lire ou de les détruire. Vous pouvez toutefois faire en sorte que les informations volées soient inutilisables en les cryptant et en rendant la clé de décryptage inaccessible.

Perturbation de l'activité normale de l'entreprise

Une attaque vise parfois à entraver le bon déroulement des opérations à l'intérieur d'une entreprise. Un tel acte peut être motivé par la malveillance, comme lorsqu'un employé mécontent ne veut pas travailler parce qu'il s'est vu refuser une promotion.

Pareille attaque peut également être perpétrée par un intrus désireux de troubler le fonctionnement de services et de nuire à une entreprise concurrente. Pour d'autres encore, il peut s'agir uniquement d'un jeu. Quelle que soit la situation, l'auteur de l'attaque poursuit un objectif spécifique, et l'atteindre lui procure une certaine satisfaction. Les méthodes mises en œuvre pour réaliser des attaques de déni de service sont nombreuses. Pour plus d'informations au sujet de ces méthodes ainsi que des outils et des techniques qu'elles requièrent, reportez-vous à la section relative à l'analyse des menaces au chapitre 3, « Présentation de la discipline de gestion du risque de sécurité ».

Méthodes d'attaque

Motif de la menace + Méthode d'exploitation + Vulnérabilité de la ressource = Attaque

La méthode décrite par cette formule exploite la vulnérabilité de l'entreprise pour se protéger contre les attaques dont le processus est décrit par la figure 2.2. Les attaques hostiles peuvent engendrer l'accès à des services ou le déni de service par différents moyens, tels que :

·         virus, chevaux de Troie et vers ;

·         craquage de mots de passe ;

·         attaque de déni de service ;

·         piratage de courrier électronique ;

·         code malveillant ;

·         reconstitution de paquets ;

·         modification de paquets ;

·         écoute ;

·         manipulation d’utilisateur ;

·         intrusions ;

·         usurpation d'adresses IP et piratage de session.

Vulnérabilités

Une vulnérabilité est un point menacé d'une ressource, sa faille, sa faiblesse. La vulnérabilité peut être d'ordre technologique ou bien être liée à un processus ou à une personne. Dans la majorité des cas, elle est considérée comme une faille technologique dans l'implémentation de logiciels ou de matériels, voire dans la conception ou l'architecture d'un système. Elle peut également résulter de procédures et de stratégies d'entreprise mal définies ou communiquées de façon inadéquate au sein de l'entreprise. En outre, les vulnérabilités constituent des points faibles ou des failles de sécurité que l'auteur d'une attaque hostile exploite pour accéder au réseau ou à ses ressources. Il est important de comprendre que la vulnérabilité n'est pas l'attaque elle-même, mais le point faible qui est exploité pour réaliser l'attaque.

Le tableau 2.4 ci-dessous répertorie divers types de vulnérabilités. Ce ne sont que quelques exemples parmi d'autres de vulnérabilités touchant les domaines de la sécurité physique, du réseau ou des données.

Tableau 2-4 Types de vulnérabilités

Type

Exemples

Vulnérabilité physique

Portes non verrouillées

Vulnérabilité naturelle

Implantation de bureaux sur une ligne de faille géosismique

Vulnérabilité matérielle ou logicielle

Logiciel antivirus et correctifs de système d'exploitation obsolètes

Vulnérabilité du support des données

Interférences électriques

Vulnérabilité des communications

Protocoles non cryptés

Vulnérabilité humaine

Procédures mal définies et applications mal écrites

Risques

Un risque est la probabilité de voir une vulnérabilité exploitée par un agent de menace et le potentiel de perte qui en résulte. Si plusieurs ports d'un pare-feu sont ouverts, il existe un risque plus élevé qu'un intrus utilise l'un des ports pour accéder au réseau sans y être autorisé.

Les risques sont également accrus si les utilisateurs de votre environnement ne sont pas formés aux processus et aux procédures : un employé commettra plus facilement une erreur, détruisant accidentellement des données. Si un système de détection des intrusions n'est pas implémenté sur le réseau, le risque que l'attaque passe inaperçue jusqu'à ce qu'il soit trop tard est plus élevé. Le risque est en revanche réduit si les vulnérabilités ou les agents de menace sont limités.

Contre-mesures

Les contre-mesures, ou mesures de protection, atténuent le risque potentiel. Il peut s'agir d'une configuration logicielle, d'un composant matériel et/ou d'une procédure qui, une fois déployés, permettent de contrer une menace ou une vulnérabilité, de sorte que le risque auquel est exposé l'environnement informatique est limité. La mise en œuvre de mots de passe forts, la présence d'un agent de sécurité, des mécanismes de contrôle d'accès au sein d'un système d'exploitation, l'implémentation de mots de passe BIOS (Basic Input/Output System) et une formation sur la sécurité sont autant d'exemples de contre-mesures.

Si votre société a installé des correctifs de sécurité uniquement sur les serveurs et que ceux-ci ne sont pas à jour, cela engendre une vulnérabilité. La menace provient d'un utilisateur qui, intentionnellement ou non, s'introduirait dans l'environnement de sorte à nuire à la productivité. Sans la mise à jour des correctifs logiciels, un système n'est pas protégé, et cette exposition laisse craindre une perte ou une corruption de données. Dans un tel cas, les contre-mesures consistent à installer tous les Services Packs requis sur les ordinateurs de l'entreprise et à les mettre à jour à l'aide des éventuels correctifs logiciels qui n'y figurent pas. La relation entre menaces, vulnérabilités et contre-mesures est illustrée par la figure suivante.

 

 


 


Figure 2-3. Relation entre les composants de sécurité.
Relations entre les composants de sécurité

Une enquête sur les intrusions informatiques publiée par le CSI et le bureau du FBI de San Francisco relate dans le détail divers types de délits informatiques. Les résultats de cette enquête constituent une source de renseignements bruts. Ils peuvent vous aider à mieux cerner les tendances actuelles de la « cybercriminalité ».

Résumé

Ce chapitre a présenté une vue d'ensemble des composants majeurs de l'analyse de la sécurité et des principaux processus de sécurité requis dans un environnement d'entreprise. Il est vital de bien appréhender la relation qui unit les menaces, les expositions, les vulnérabilités et les contre-mesures, afin de pouvoir appliquer des mesures de sécurité efficaces dans votre entreprise.

 

Informations complémentaires

Informations sur les délits informatiques : http://www.gocsi.com/press/20020407.html (en anglais).

Informations sur l'évaluation des menaces : article « Threat Assessment of Malicious Code and Human Threats », de Lawrence E. Bassham & W. Timothy Polk (National Institute of Standards and Technology Computer Security Division), accessible à l'adresse http://csrc.nist.gov/ (en anglais).

Informations sur les meilleures pratiques en matière de sécurité informatique : http://www.iso-17799.com/ (en anglais).

Informations sur le piratage : http://www.hackingexposed.com/ (en anglais).

Informations sur les menaces posées à la sécurité sur le site Microsoft TechNet : http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bestprac/bpent/sec1/secthret.asp (en anglais).

Informations sur la valorisation des ressources, sur le site du National Institute of Standards and Technology : http://csrc.nist.gov/asset/ (en anglais).